L’intelligence artificielle s’est imposée dans les discours sur la cybersécurité avec une rapidité remarquable. En quelques années, elle est passée du statut de technologie émergente à celui de solution présentée comme incontournable. Détection d’anomalies, automatisation des réponses, analyse comportementale, priorisation des alertes : les promesses sont nombreuses et souvent séduisantes.

Pourtant, lorsque l’on observe la réalité des organisations, une question centrale se pose : l’intelligence artificielle est-elle réellement comprise comme un levier stratégique, ou simplement consommée comme une nouvelle brique technologique de plus ? Cette question est loin d’être anodine, car elle conditionne directement la manière dont l’IA est intégrée, pilotée et maîtrisée.

Du point de vue du RSSI, l’IA ne peut pas être abordée uniquement sous l’angle de la performance technique. Elle introduit de nouveaux risques, de nouvelles dépendances et, surtout, de nouvelles responsabilités. Confier une partie de la détection ou de la décision à des systèmes automatisés suppose de comprendre leurs limites, leurs biais potentiels et les conditions dans lesquelles ils produisent des résultats fiables. Ce sont là des questions de gouvernance, bien avant d’être des questions d’outillage.

L’un des premiers écueils consiste à considérer l’IA comme une forme de réponse universelle aux problématiques de sécurité. Cette vision est dangereuse. Elle peut conduire à une surconfiance dans des mécanismes dont le fonctionnement réel reste parfois opaque, y compris pour ceux qui les déploient. Or, en matière de cybersécurité, déléguer sans comprendre revient souvent à déplacer le risque plutôt qu’à le réduire.

C’est précisément pour cette raison que les cadres de référence récents insistent sur la notion de maîtrise et de responsabilité. Des travaux portés par des organismes comme le NIST, à travers son cadre de gestion des risques liés à l’IA, rappellent que l’utilisation de ces technologies doit être pensée dans une logique de gouvernance globale. Transparence, explicabilité, supervision humaine et alignement avec les objectifs de l’organisation sont des principes structurants, pas des options.

Dans une posture de DSI/RSSI, l’introduction de solutions basées sur l’IA pose également la question de la frontière entre automatisation et décision. Automatiser la détection ou la corrélation d’événements est une chose. Automatiser une réponse ayant un impact opérationnel ou métier en est une autre. La gouvernance consiste justement à définir où s’arrête l’automatisation et où commence la responsabilité humaine. Cette frontière ne peut pas être définie par un éditeur ou un algorithme ; elle relève d’un choix managérial.

L’IA modifie aussi la nature du dialogue avec la direction et les métiers. Les promesses associées à ces technologies peuvent créer des attentes élevées, parfois irréalistes. Le rôle du RSSI devient alors celui d’un traducteur, capable d’expliquer ce que l’IA peut réellement apporter, mais aussi ce qu’elle ne fera pas. Cette pédagogie est essentielle pour éviter les désillusions, mais aussi pour prévenir une prise de risque mal évaluée.

Il ne faut pas non plus oublier que l’IA devient elle-même une surface d’attaque. Les modèles peuvent être manipulés, empoisonnés, contournés. Les données qui les alimentent peuvent être biaisées ou compromises. Intégrer l’IA dans un dispositif de cybersécurité sans repenser la gestion du risque revient à ajouter une couche de complexité sans cadre clair. Là encore, la gouvernance précède nécessairement la technique.

Aborder l’intelligence artificielle comme un sujet de gouvernance permet de replacer la question au bon niveau. Il ne s’agit pas de savoir si l’on doit ou non utiliser de l’IA, mais dans quelles conditions, avec quelles garanties et pour servir quels objectifs. Cette approche évite les effets de mode et favorise des choix alignés avec la maturité réelle de l’organisation.

Pour le RSSI, l’enjeu est donc double. D’une part, comprendre suffisamment ces technologies pour en mesurer les apports et les limites. D’autre part, être capable d’inscrire leur usage dans un cadre clair, assumé et partagé. C’est cette articulation entre innovation et responsabilité qui fera la différence dans les années à venir.

Dans le prochain article, j’approfondirai cette réflexion en m’intéressant plus précisément aux nouveaux risques introduits par l’IA elle-même, et à la manière dont un RSSI peut les intégrer dans une démarche de gestion du risque cohérente. Une continuité naturelle, au croisement de la cybersécurité, de l’IA et de la gouvernance.